【要注意】Stravaのセキュリティホールを使えば自宅が特定できてしまう問題が発覚

2023.08.30
この記事は約4分で読めます。

SNSとセキュリティ問題。
悲しいことに切っても切れないトピックですよね。

ロードバイク関連で最大手のSNSの一つであるStrava。
自宅を特定されないように注意すべき設定について、以前ご紹介したことがあります。

【要注意】Strava のアクティビティから自宅を特定されないようにする為に
ローディーが恐れる最大のリスクは、自分が高い金を払って購入したロードバイクが盗まれることではないでしょうか。 ひと昔前は各社ハイエンドバイクは100万円程度でしたが、今や軽く150万にまで高騰しています。 為替影響もありますが、物価高騰の影...
formercharider.net
2023.04.24

Stravaも当然セキュリティの重要性は理解しており、セキュリティに配慮した各種機能も用意されているのですが、先日、また別のセキュリティホールに関する記事が公開されました。

■ Strava のヒートマップ機能に要注意(セキュリティ)

1. 指摘されたStravaのセキュリティホール

今回問題視されたのが Strava のヒートマップ機能。

今回の記事では以下のような説明がされています。

 

 

このアプリにはユーザーデータを集約した「ヒートマップ」機能がある。ユーザーデータはすべて匿名化されているが、ヒートマップ機能によって、ユーザーは他のStravaユーザーが特定の地域でハイキングやランニング、サイクリングに行く場所を確認することができる。

「Stravaは、ヒートマップ機能は集計データのみを使用しており、特定のユーザーの個人情報を取得することは不可能であると強調しています。「しかし、我々はある条件下で抜け穴を見つけた。
具体的には、ある地域のStravaユーザーを調べることが可能であることがわかった。また、ユーザーがヒートマップ上の集計データを見て、匿名ユーザーのルートがどこで始まり、どこで終わる可能性が高いかを知ることも可能だ。

 

 

基本的に、Strava で問題になるのは「ルートの始点と終点」が特定されることで自宅を特定されるケースになりますが、海外のSNSでは女性のランナーがそういった経験をした、という投稿が多くされているようです。

以前の記事でも触れさせて頂きましたが、Stravaもコースの始点や自宅周辺を非公開にするセキュリティに配慮した設定が用意されているのですが、今回は「ヒートマップ」機能が問題視されています。

ヒートマップ機能は有料オプションとなっている為、私のような無課金ユーザには関係ない機能なのですが(汗)、匿名化されているはずのデータから個人情報が特定されるとしたら、それは大問題ですよね。

 

 

「人口が密集し、多くのルートと多くのユーザーがいる地域では、データが多すぎて特定の人物を追跡するのは非常に困難です」とダスは言う。「しかし、ユーザーが少ない地域やルートが少ない地域では、単純な消去法になってしまう。特に、誰かが探している人物が非常にアクティブなStravaユーザーであればなおさらだ。自分のアカウントを非公開にマークしているユーザーでさえ、つまり “フォロワーと “のみ情報を共有することを選択しているユーザーでさえ、誰かがある自治体の全ユーザーのリストを検索すると表示される。”したがって、アカウントを非公開にマークしても、この追跡テクニックに対する追加的な保護が得られるとは限らない。

 

「この件についてStrava社に問い合わせたところ、同社は、特定の地域で複数のユーザーが活動していない限り、ヒートマップデータを共有しないと回答した。「とはいえ、ヒートマップを使って特定の地域にいる何人かのユーザーの自宅住所を特定することはできたし、有権者登録データを使ってその特定を確認することもできた。

 

 

なるほど。
ユーザが少ない地域ではヒートマップが「匿名性」を失ってしまうわけですね。
ここで悩ましいのが、「人口の少ない地方」が問題になるケースが多いだけでなく、「そこそこ人口が多い地域であっても、周辺にStravaユーザが少ないとリスクが高まる」ということなんですよね。

有料オプションを契約していない私のような場合、そもそも自宅周辺のユーザが多いのか少ないのかも把握できていなかったりします。

これは怖いですわ。

2. 対処方法

私の基本的な考え方として、「無料で使わせてもらうサービスに関しては、少しでも貢献すべく匿名化されたデータの利用は許可する」というものがあります。

完全なタダ乗りは申し訳ないな、という発想です。

そこで恐る恐る Strava の設定画面を確認してみました。

ss-01

やはり・・・。
ヒートマップへのデータ利用を許可していました。
これが、実際にどのように活用されているかを確認することができるのであれば、内容を把握したうえで「許可」「不許可」を選択することもできるのですが、無課金である限りは自分のデータがどのように活用されているかを把握することすらできないわけです。

それはちょっと嫌だな、ということで、残念ながら今回を機にヒートマップへのデータ提供は不許可とさせて頂きました。

ちょっと気になるな、という方はご自身の設定を再確認することをおすすめします。

 

 

 

コメント

  1. ガラケー老爺 より:
    2023年8月31日 8:04 PM

    最近は自動車のサイトでも位置情報を求めてきますからビッグデーターを使って
    儲けるのが流行りなのかもしれませんがビッグモーターの件もありますからね?
    しかし・・・ポイントに騙されてマイナカードをホイホイ作ってしまう日本人は
    手遅れカモ任意の筈のカードを義務化しようとする方もどうかしてますが・・・。

    返信
タイトルとURLをコピーしました